移动应用安全开发要求(3,访问控制)

最新推荐文章于 2024-06-26 16:05:25 发布
最新推荐文章于 2024-06-26 16:05:25 发布
阅读量428 收藏 3
点赞数
分类专栏: android C/C++ 文章标签: java android ios 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s_include/article/details/115391590
版权
本文关注移动应用开发中的安全问题,特别是访问控制。强调了禁止非必要权限请求,实施权限管理和最小权限原则,以防止越权访问。内容涵盖了基于角色的授权、用户身份鉴别、权限最小化,以及如何保护用户数据和系统安全,防止非法操作导致的损失。
摘要由CSDN通过智能技术生成

通常,移动应用的生命周期包括可行性分析与项目开发计划、需求分析、设计、编码、测试、维护等活动,这种按时间分配不同任务的思想方法是软件工程中的一种重要思想原则,即按部就班、逐步推进,每个阶段都要有各自的定义、工作、审查、形成文档以便工作交流或备查,进而达到提高软件质量的目的。

目前,按照应用开发生命周期的思想进行软件设计和开发的理念已经得到广大软件设计和开发人员的广泛认同,但是在应用开发生命周期中对安全性的考虑则往往被忽略,进而产生了很多的软件产品漏洞,给使用应用的人们带来很多工作生活上的不便,甚至造成巨大的经济损失。

图片

在本文中,我们探讨Android应用程序开发过程中对于移动应用访问都有哪些安全开发要求。

 

访问控制

    禁止请求非必要的权限,限制越权访问。

图片

 

    权限管理

  • 创建基于角色的授权;

  • 代码执行权限最小化;

  • 可信系统对资源授权与验证;

  • 对文件、受保护的URL、受保护的程序功能、受保护的程序数据、受保护的用户/数据属性/策略信息、受保护的访问控制策略、服务端数据创建行为进行访问授权控制;

最低0.47元/天 解锁文章
manxiSafe
关注
专栏目录
移动应用APP安全开发要求安全检测标准-android
03-19
本文根据owasp出具的2016移动应用top10的checklist翻译而来,适用于所有android应用
通过移动访问控制增强数据中心安全
最新发布
网络研究观
10-10 1509
通过采用移动访问,数据中心可以巩固其作为尖端设施的地位,不仅在处理能力方面,而且在安全性和效率方面。
移动应用安全开发规范-安卓基础篇
简言
05-06 3916
周末参加了线下安卓巴士论坛组织的“安卓开发者的修炼之道”,几位嘉宾分享的内容都很赞。没时间整理文字版,直接分享嘉宾的PPT了。第一位嘉宾林魏,深圳爱加密科技公司攻防实验室负责人,分享的主题是《移动应用安全开发规范-安卓基础篇》。...
移动互联网应用程序(APP)信息安全等级保护测评标准解读
ddcajdkdl的博客
06-26 1307
GB/T 42582-2023的发布,旨在建立一套科学、系统的测评方法,指导和规范移动App在个人信息收集、存储、使用、共享、转让、公开披露等环节的安全管理,保障用户的个人信息安全,促进移动互联网行业的健康发展。对于开发者而言,这既是挑战也是机遇,通过遵循该标准,不仅能够提升App的安全性和用户信任度,还能在日益激烈的市场竞争中树立良好的品牌形象。本标准适用于各类移动互联网应用程序,特别是那些涉及大量用户个人信息处理的应用,如社交、购物、金融、健康等领域的App。包括数据加密、存储安全、传输安全等方面。
移动应用数据安全管理要求(三)
securitypaper的博客
07-05 1078
数据所面临的安全风险是动态变化的,企业需要通过实施数据安全审计掌握安全措施有效性,进而补足薄弱点,优化安全防御策略,真正实现数据安全
移动应用安全控制和设计原则TOP10
04-25
移动应用开发过程中,确保设备上敏感数据的安全至关重要。这一环节涉及的风险主要包括废弃设备可能导致的敏感信息泄露。为降低这类风险,开发者需采取一系列措施: - **1.1 数据分类与API安全审查**:在应用的...
移动金融应用安全白皮书.pdf
02-18
这些政策涵盖了数据安全、隐私保护、合规运营等多个方面,要求移动应用开发商加强安全措施,确保应用的合规性。 ##### (三)5G时代移动金融应用发展 5G技术的到来为移动金融应用带来了新的发展机遇。更高的数据...
移动应用开发:创建摄像头监控界面.pptx
08-06
本任务的目标是掌握移动应用开发的基本技术,包括WebView组件、HttpURLConnection类、Http协议访问和控制摄像头等。通过本任务的学习,掌握移动应用开发的基本技术,并能够创建一个基本的摄像头监控界面。
Android移动平台开发-数据存储应用.doc
11-14
Android 移动平台开发-数据存储应用Android 移动平台开发中,数据存储是一项非常重要的任务。 Android 提供了三种主要的存储方式:SharedPreferences、Internal Storage 和 SQLite。每种存储方式都有其优缺点,...
移动应用开发教程.zip00001
04-17
移动应用开发是现代技术发展的重要组成部分,随着智能手机和移动设备的普及,移动应用已经成为人们日常生活中不可或缺的一部分。本文将深入探讨移动应用开发的关键知识点,帮助读者理解并掌握这一领域的核心概念和...
应用系统安全开发规范
02-13
为规范公司线上系统、后台系统等业务系统的安全开发,使开发人员明确在开发过程中需要遵守的安全要求,保证最终开发完成的系统不存在明显的安全漏洞,尽可能地降低系统上线后由于代码层漏洞导致的安全风险,特制定本规范。
安全开发规范手册.docx
08-05
1. 背景 4 2. 编码安全 4 2.1. 输入验证 4 2.1.1. 概述 5 2.1.2. 白名单 5 2.1.3. 黑名单 5 2.1.4. 规范化 5 2.1.5. 净化 5 2.1.6. 合法性校验 6 2.1.7. 防范SQL注入 6 2.1.8. 文件校验 6 2.1.9. 访问控制 6 2.2. 输出验证 6 2.2.1. 概述 6 2.2.2. 编码场景 6 2.2.3. 净化场景 7 2.3. SQL注入 7 2.3.1. 概述 7 2.3.2. 参数化处理 7 2.3.3. 最小化授权 7 2.3.4. 敏感数据加密 7 2.3.5. 禁止错误回显 8 2.4. XSS跨站 8 2.4.1. 输入校验 8 2.4.2. 输出编码 8 2.5. XML注入 8 2.5.1. 输入校验 8 2.5.2. 输出编码 8 2.6. CSRF跨站请求伪造 8 2.6.1. Token使用 9 2.6.2. 二次验证 9 2.6.3. Referer验证 9 3. 逻辑安全 9 3.1. 身份验证 9 3.1.1. 概述 9 3.1.2. 提交凭证 9 3.1.3. 错误提示 9 3.1.4. 异常处理 10 3.1.5. 二次验证 10 3.1.6. 多因子验证 10 3.2. 短信验证 10 3.2.1. 验证码生成 10 3.2.2. 验证码限制 10 3.2.3. 安全提示 11 3.2.4. 凭证校验 11 3.3. 图灵测试 11 3.3.1. 验证码生成 11 3.3.2. 验证码使用 11 3.3.3. 验证码校验 11 3.4. 密码管理 12 3.4.1. 密码设置 12 3.4.2. 密码存储 12 3.4.3. 密码修改 12 3.4.4. 密码找回 12 3.4.5. 密码使用 12 3.5. 会话安全 13 3.5.1. 防止会话劫持 13 3.5.2. 会话标识符安全 13 3.5.3. Cookie安全设置 13 3.5.4. 防止CSRF攻击 13 3.5.5. 会话有效期 14 3.5.6. 会话注销 14 3.6. 访问控制 14 3.6.1. 跨权访问 14 3.6.2. 控制方法 14 3.6.3. 控制管理 14 3.6.4. 接口管理 15 3.6.5. 权限变更 15 3.7. 文件上传安全 15 3.7.1. 身份校验 15 3.7.2. 合法性校验 15 3.7.3. 存储环境设置 15 3.7.4. 隐藏文件路径 16 3.7.5. 文件访问设置 16 3.8. 接口安全 16 3.8.1. 网络限制 16 3.8.2. 身份认证 16 3.8.3. 完整性校验 16 3.8.4. 合法性校验 16 3.8.5. 可用性要求 17 3.8.6. 异常处理 17 4. 数据安全 17 4.1. 敏感信息 17 4.1.1. 敏感信息传输 17 4.1.2. 客户端保存 17 4.1.3. 服务端保存 17 4.1.4. 敏感信息维护 18 4.1.5. 敏感信息展示 18 4.2. 日志规范 18 4.2.1. 记录原则 18 4.2.2. 事件类型 18 4.2.3. 事件要求 18 4.2.4. 日志保护 19 4.3. 异常处理 19 4.3.1. 容错机制 19 4.3.2. 自定义错误信息 19 4.3.3. 隐藏用户信息 19 4.3.4. 隐藏系统信息 19 4.3.5. 异常状态恢复 20 4.3.6. 通信安全 20
web应用安全开发规范
07-09
本规范就是提供一套完善的、系统化的、实用的Web安全开发方法供Web研发人员使用,以期达到提高Web安全的目的。本规范主要包括三大内容:Web设计安全、Web编程安全、Web配置安全,配套CBB,多管齐下,实现Web应用的整体安全性;本规范主要以JSP/Java编程语言为例。
应用系统安全开发技术规范V1.3.pdf
05-31
许多程序员不知道如何开发安全应用程序, 开发出来的Web应用存在较多 的安全漏洞,这些安全漏洞一旦被黑客利用将导致严重甚至是灾难性的后果。这 并非危言耸听,类似的网上事故举不胜举,公司的Web产品也曾多次遭黑客攻击, 甚至有黑客利用公司Web产品的漏洞敲诈运营商,造成极其恶劣的影响。 本规范为解决Web应用系统安全问题, 对主要的应用安全问题进行分析,并 有针对性的从设计及开发规范、开发管理、安全组件框架、安全测试方面提供整 体的安全解决方案。
移动应用安全开发要求(1,源码安全
s_include的专栏
04-01 493
移动应用安全开发要求(源码安全) 近十年,移动互联网的飞速发展,智能移动终端在人们学习、工作和生活中的普及率越来越高,手机终端的广大用户群体的良好体验正吸引着越来越多的开发应用者参与到手机应用程序的开发和使用中来,但是部分免费开源的平台特性不仅给予了开发者更广阔的开发空间,也给使用者增加了许多安全隐患,即使有基于自主平台上开发移动应用,也会遭到黑客攻击,存在一定的安全隐患。 相关数据显示,89%的热门应用存在仿冒,18个行业的Top10应用中98%的应用都存在漏洞。这些漏洞一旦被利用,将会...
信息安全工程师笔记-移动应用安全需求分析与安全保护工程
IT1995的博客
10-12 390
移动应用系统组成 基于智能手机的移动应用系基本组成包括三部分: ①一是移动应用,简称App; ②二是通信网络,包括无线网络、移动通写完了及; ③三是应用服务端,由相关的服务器构成,负责处理来自App的相关信息或数据。 移动应用安全分析 移动应用安全威胁主要有以下类型: ①移动操作系统平台安全威胁; ②无线网络攻击; ③恶意代码; ④移动应用代码逆向工程; ⑤移动应用程序非法篡改。 Android系统组成概要 Android是一个开源的移动终端操作系统,其系统结构分成
移动应用安全开发要求(2,密码安全
s_include的专栏
04-02 407
通常,移动应用的生命周期包括可行性分析与项目开发计划、需求分析、设计、编码、测试、维护等活动,这种按时间分配不同任务的思想方法是软件工程中的一种重要思想原则,即按部就班、逐步推进,每个阶段都要有各自的定义、工作、审查、形成文档以便工作交流或备查,进而达到提高软件质量的目的。 目前,按照应用开发生命周期的思想进行软件设计和开发的理念已经得到广大软件设计和开发人员的广泛认同,但是在应用开发生命周期中对安全性的考虑则往往被忽略,进而产生了很多的软件产品漏洞,给使用应用的人们带来很多工作生活上的不便,甚至造成巨大
移动应用安全开发-转载
FredaMJ的博客
06-05 225
https://blog.csdn.net/alice_tl/article/details/80216623 https://www.cnblogs.com/fishou/p/4222263.html
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值